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La presente invention concerne un systeme de reception de donnees 
numeriques diffusees comprenant un terminal numerique maTtre, et au moins 
un terminal numerique esclave raccorde au terminal maTtre. 

5 Le march6 des decodeurs de television numeriques arrive 

actuellement a un tournant. La plupart des abonn^s, dans les pays Europeens 
notamment, sont 6quipes d'un seul terminal numerique (ou « d&codeur ») par 
foyer alors qu'ils possedent souvent au moins deux teteviseurs. II existe done 
une demande pour des equipements multiples en termes de decodeurs pour un 

1 0 meme foyer. 

On notera que dans la suite les termes « decodeur » ou « terminal 
numerique » designent un meme type de dispositif permettant de recevoir et de 
decoder (et eventuellement desembrouiller) des signaux numeriques diffuses 
par un operateur (notamment un operateur de television numerique). On 

15 utilisera aussi dans la suite de la description les termes « embrouiller » / 
« desembrouiller » ou « chiffrer » / « dechiffrer » pour signifier que Ton applique 
un algorithme de cryptage / decryptage a des donnees en utilisant une cl6. 

Certains operateurs de television numerique payante souhaitent offrir 
a leurs abonnes la possibility de s'equiper de plusieurs terminaux numeriques 

20 pour b6neficier de leurs services sur chacun des televiseurs installs dans leur 
logement, sans pour autant leur faire payer pour les terminaux supplementaires 
le prix d'un abonnement plein tarif, qui serait prohibitif, mais plutot un tarif reduit 
(voire nul). Cependant il s'agit, pour Toperateur, de s'assurer que les terminaux 
et abonnements « associes » restent effectivement dans le meme foyer, car 

25 dans le cas contraire, ses revenus risquent d'en etre considerablement affect6s. 

Une solution connue consiste a utiliser la « voie de retour » des 
terminaux numeriques en demandant a Tabonne de relier tous les terminaux de 
son domicile a une meme ligne telephonique. L'operateur controle ensuite 
periodiquement la connexion des terminaux a cette ligne telephonique en 

30 telecommandant des appels t6l6phoniques des terminaux vers un serveur de 
Toperateur. Cependant cette solution n'est pas satisfaisante car elle impose la 
connexion permanente des terminaux numeriques de I'abonne a une ligne 
telephonique. 

Une autre solution decrite dans la demande de brevet frangais No. 
35 02 09362 deposee le 24 juillet 2002 par le meme demandeur que la presente 
demande, THOMSON Licensing S.A., consiste a garantir qu'un lien de 
communication physique existe toujours entre un terminal secondaire (ou 
terminal « esclave ») et un terminal principal (ou terminal « maTtre ») avec 

,! 
I 
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lequel il est appaire. Le ou les terminaux esclaves (pour lequel ou lesquels 
I'abonne beneficie d'un tarif preferential) ne peuvent fonctionner, c'est a dire 
fournir des donnees en clair au televiseur auquel ils sont raccordes, sans qu'il 
soit verifie que le terminal « mattre » auquel ils sont appaires est present a 
5 proximite. 

Plusieurs strategies de communication entre ces decodeurs sont 
envisageables mais certaines peuvent presenter des risques de « piratage » ou 
de « contournement ». 



1 0 Un but de la presente invention est d'apporter un perfectionnement a 

I'invention decrite dans la demande de brevet precitee en minimisant les 
risques de piratage ou de contournement 

Le principe de I'invention est le suivant : un terminal numerique 
« mattre » contient une carte a puce dans laquelle sont enregistres des droits 

15 paves par I'abonne au tarif normal. Un terminal numerique « esclave » contient 
une carte a puce dont les droits, identiques ou non a ceux de la carte a puce du 
decodeur « mattre », ont ete payes moins cher par le meme abonne. 

Ce tarif preferentiel de I'abonnement du decodeur « esclave » est 
accorde par I'operateur a la condition que le decodeur esclave soit utilise par le 

20 meme abonne dans le meme logement que le decodeur « mattre ». 

L'idee de base a I'origine de I'invention consiste a considerer que si 
le terminal numerique « esclave » n'est pas a proximite immediate du terminal 
numerique « mattre », il est utilise dans un logement different et done I'abonne 
viole le contrat lui permettant de beneficier d'un tarif preferentiel. Grace a la 

25 presente invention, si une telle situation d'utilisation frauduleuse du terminal 
numerique « esclave » est detectee, ce dernier cesse de fonctionner 
normalement; en I'occurrence, il ne permet plus a I'abonne d'acceder a 
I'ensemble des services qu'il est cense recevoir (image et son). 

On notera que I'invention peut etre mise en ceuvre entre un terminal 

30 numerique mattre et plusieurs esclaves, si I'operateur le permet. 

L'inventibn concerne a cet effet un systeme de reception de donnees 
numeriques diffusees comprenant un terminal numerique mattre, et au moins 
un terminal numerique esclave raccorde au terminal mattre par une liaison et 
susceptible de recevoir des donnees numeriques protegees. Selon I'invention, 

35 le terminal numerique esclave ne peut acceder aux donnees protegees que si 
des informations necessaires pour acceder auxdites donnees et recues par le 
terminal numerique mattre sont transmises par I' intermedia ire de ladite liaison 
au terminal numerique esclave dans un delai predetermine. 
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Les donnees numeriques protegees sont notamment des services de 
television embrouilles par des cles et les informations pour acceder aux 
donnees protegees sont notamment des messages contenant des droits 
d'acces aux services ou bien des parametres permettant d'extraire de tels 
5 messages des donnees regues ou bien encore des messages contenant une 
partie des droits d'acces. 

Dans un mode de realisation particulier de l'invention, les 
informations necessaires pour acceder aux donnees protegees qui sont regues 
par le terminal numerique maitre proviennent du systeme de diffusion des 
10 donnees. 

Avantageusement, les informations pour acceder aux donnees 
regues par le terminal numerique maitre sont transformees avant d'etre 
transmises au terminal numerique esclave. 

Dans un autre mode de realisation particulier, les informations 
15 necessaires pour acceder aux donnees protegees qui sont regues par le 
terminal numerique maTtre proviennent du terminal numerique esclave et sont 
transformees avant d'etre retransmises au terminal numerique esclave. 

L'operation de transformation dans les modes de realisation ci- 
dessus comprend notamment un desembrouillage et/ou dechiffrement des 
20 informations dans le terminal numerique maTtre, le desembrouillage / 
dechiffrement etant effectue a I'aide de cles re?ues au prealable par le terminal 
numerique maitre du systeme de diffusion. 

Selon une caracteristique particuliere de Tinvention, le delai 
predetermine est decompte a partir de I'envoi par le terminal numerique esclave 
25 d'un message au terminal numerique maftre. 

Selon une autre caracteristique, le delai predetermine est decompte 
a partir de renvoi par le systeme de diffusion des donnees d'un message au 
terminal numerique maitre. 

L'invention concerne aussi un terminal numerique destine a recevoir 
30 des donnees numeriques protegees et qui ne peut acceder aux dites donnees 
protegees que si des informations necessaires pour acceder aux dites donnees, 
et revues par autre terminal numerique auquel il est susceptible d'etre raccorde, 
lui sont transmises par cet autre terminal dans un d6lai predetermine. 

Pour resumer, le mecanisme de base de l'invention est le suivant : 
35 - le terminal numerique maitre regoit une partie des elements 

necessaires au desembrouillage des services par le terminal numerique 
esclave ; 
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- ces elements sont transmis au terminal numerique esclave dans 
des conditions bien definies et de maniere unique par Tintermediaire d'une 
liaison physique de communication entre les deux terminaux ; 

- si le terminal numerique mattre n'est pas en mesure de fournir ces 
5 elements au terminal numerique esclave dans un delai predetermine, le 

terminal numerique esclave n'est pas capable d'acceder au service recu. 

L'invention sera mieux comprise a la lecture de la description 
detaillee qui va suivre de plusieurs modes de realisation. Cette description est 
10 donnee uniquement a titre d'exemple et se refere aux dessins annexes sur 
lesquels : 

La figure 1 represente un schema synoptique d'un systeme selon 

l'invention. 

La figure 2 illustre un premier mode de realisation de l'invention. 
15 La figure 3 illustre un second mode de realisation de l'invention. 

La figure 4 illustre un troisieme mode de realisation de l'invention. 
La figure 5 illustre un quatrieme mode de realisation de l'invention. 
La figure 6 illustre une variante du second mode de realisation. 
La figure 7 illustre une variante du quatrieme mode de realisation. 

20 

Sur la figure 1, nous avons represente deux terminaux numeriques 
(ou decodeurs) : un terminal maitre 1 et un terminal esclave 2, qui sont relies 
par une liaison de communication 3. Les deux terminaux recoivent, par 
I'intermediaire d'une antenne satellite 4, des donnees numeriques diffusees par 
25 un operateur de service, notamment des donnees audio/video. Ms comportent 
chacun une carte a puce 15/25 inseree dans un lecteur de carte du terminal et 
dans laquelle sont stockes des droits de I'abonne pour acceder aux sen/ices 
(notamment aux chaines diffusant des programmes audiovisuels) de 
I'operateur. 

30 Les donnees recues sont embrouillees, selon le principe classique 

de la television numerique payante, par des cles d'embrouillage (appelees 
souvent « Control Word ») et les cles sont elles-memes chiffrees et transmises 
dans des messages notes ECM (acronyme de « Entitlement Control Message » 
signifiant « Message de controle des droits ») avec les donnees liees au 

35 service. Des messages personnalises, notes EMM (de « Entitlement 
Management Message » signifiant « Message de gestion des droits ») 
permettent de mettre a jour sur chaque carte a puce les « droits » dont dispose 
chaque abonne (ces droits pouvant egalement etre recus par une ligne 
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telephonique de I'abonne a laquelle est relie le terminal, comme dans le cas du 
« Pay per View » - ou « payement a la seance » — par exemple). 

Pour desembrouiller un service auquel un abonne a droit, les ECMs 
sont envoyes a un module de controle d'acces 14 / 24 qui, en liaison avec la 
5 carte a puce 15/25, fournit les cles de desembrouillage dechiffrees 
correspondantes, ces cles permettant de desembrouiller le service. La carte a 
puce 15/25 contient en effet les elements necessaires (tels que cles et 
algorithmes de d6chiffrement) pour dechiffrer les cles de desembrouillage 
contenues dans les messages ECMs. Les cles de desembrouillage sont 
10 dynamiques et changent au plus toutes les 10 secondes. Cette periode pendant 
laquelle une cle de desembrouillage specifique est valide pour desembrouiller 
les donnees est appelee « key period » ou « crypto-periode ». 

On notera que le module de controle d'acces 14 / 24 et la carte a 
puce 15/25 ne sont qu'un exemple d'implementation du systeme de controle 
15 d'acces dans les terminaux 1 / 2. Le module 14 / 24 peut etre mis en oeuvre 
dans un module detachable, lui-meme contenant eventuellement une carte a 
puce ou un processeur securise et destine a etre raccorde au decodeur (par 
exemple un module selon la norme DVB-C1, de « Digital Video Broadcasting - 
Common Interface » ou selon la norme NRSS-B, de « National Renewable 
20 Security Standard »). De meme, la carte a puce 15/25 amovible peut etre 
remplacee par un processeur securise integre dans le terminal 1/2. 

Sur la figure 1 , les donnees numeriques embrouillees sont regues 
par un tuner/demodulateur 10 /20 dans chaque terminal 1 / 2. Un 
demultiplexer et dispositif de filtrage 11/21 extrait des donnees regues les 
25 messages ECMs et EMMs qui sont diriges vers le module de controle d'acces 
14/24. Ce module 14/24, en liaison avec la carte 15/25, dechiffre les cles de 
desembrouillage pour les transmettre a un desembrouilleur 12/22, lequel regoit 
les donnees audio/video A / V du module de demultiplexage et de filtrage 11/ 
21. Grace aux cles de desembrouillage repues du module 14 / 24, le 
30 desembrouilleur 12/22 peut desembrouiller les donnees A/ V et les transmettre 
a un decodeur, notamment uri dScodeur MPEG 13 / 23 qui restitue en sortie 
des signaux audio / video en clair pour un televiseur. 

Selon I'invention, un module de gestion de I'application 
d'appariement 17/27 est present dans le terminal maitre 1 et dans le terminal 
35 esclave 2. II g6re les communications entre les deux terminaux et en particulier 
le transfert des informations du terminal maitre vers le terminal esclave pour 
permettre au terminal esclave d'acceder aux donn§es regues. Ce module 
controle egalement le d6lai qui saccule avant la reception de ces informations 
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de maniere a bloquer le fonctionnement du terminal esclave si les informations 
ne sont pas repues dans le delai fixe. Un port de communication 16/26 
dispose dans chaque terminal gere la liaison entre les deux terminaux. 

5 La figure 2 illustre une premiere methode d'implementation de 

I'invention, basee sur les EMMs. 

Elle consiste a fournir les droits (EMMs) du terminal numerique 
esclave 2 par I'intermediaire du terminal numerique maitre 1 et de la liaison de 
communication d'appariement 3 f et non plus par I'antenne satellite 4. En 

10 pratique, lors d'une premiere etape 200, le terminal numerique esclave 2 re?oit 
du systeme de diffusion 5, par satellite, un message « EMM (Suppression 
droits) » qui efface tout ou partie des droits de sa carte a puce 25. 
Immediatement apres, lors d'une etape 201, il re?oit une information « Message 
(Demande droits au Maitre) » qu'il doit transmettre au terminal maitre 1 par la 

15 liaison physique 3 (etape 202). Le terminal numerique maitre utilise cette 
information pour capter un EMM emis peu de temps plus tard (etape 203). Ce 
message « EMM (Droits Esclave) » est ensuite immediatement retransmis au 
terminal numerique esclave par la liaison de communication 3 lors de r etape 
204. Le message « EMM (Droits Esclave) » permet au terminal esclave 2 de 

20 mettre a jour ses droits dans sa carte a puce a Tetape 205. 

Preferentiellement, le message « EMM (Droits Esclave) » est 
transmis lors de I'etape 204 en etant protege par chiffrement. Par exemple, on 
suppose que les modules de gestion de Implication d'appariement 17 et 27 
presents dans les terminaux 1 et 2 possedent chacun une cle secrete partagee 

25 par les deux modules 17 et 27. Le module 17 chiffre le message « EMM (Droits 
Esclave) » avec la cle secrete avant de I'envoyer sur la liaison 3 et le module 27 
le dechiffre avec la cle secrete lorsqu'il le regoit. Cette cle secrete partagee peut 
avoir ete re?ue du systeme de diffusion 5 dans des EMMs specifiques ou peut 
avoir ete programmee dans les terminaux 1 et 2 au moment de leur fabrication 

30 ou de leur mise en service. 

Seloh le priricipe de invention, si la reponse du terminal maitre 1 
n'est pas re?ue dans un delai imparti (delai maximal At), le decodeur esclave se 
bloque (etape 206), jusqu'a la prochaine emission d'EMMs. 

On notera que la frequence d'emission des EMMs peut etre faible 

35 (un ou plusieurs jours). De plus, le delai maximal imparti At doit etre 
suffisamment long pour que les terminaux numeriques aient le temps de traiter 
les informations et suffisamment court pour qu'un retard introduit par un 
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intermediate de type reseau Internet soit prohibitif et bloque le terminal 
esclave. Un delai At de I'ordre d'une seconde peut par exemple convenir. 

La figure 3 illustre une deuxieme methode d'implementation de 
5 I'invention, egalement basee sur les EMMs. 

Elle consiste a fournir au terminal numerique esclave 2 les 
informations de filtrage des EMMs par I'intermediaire du terminal maitre 1 et de 
la liaison de communication d'appariement 3. 

Lors d'une premiere etape 301, le terminal esclave 2 report du 
10 systeme de diffusion 5 un message « EMM (Suppression droits) » qui annule 
tout ou partie des droits de sa carte 25. Immediatement apres, lors d'une etape 
302, le terminal maitre regoit et retransmet (etape 303) un message contenant 
les parametres de filtrage des EMMs « Message (Info filtrage EMM Esclave) » 
du terminal esclave, ces informations devant etre envoy6es au terminal esclave 
15 par la liaison de communication 3 dans un temps de reponse maximal donne. 
Le terminal numerique esclave 2 initialise ensuite (etape 304) ses filtres 
(compris dans le module Demultiplexeur / Filtres 21) avec les parametres re<?us. 
Preferentiellement, le message transmis a I'etape 303 est protege par 
chiffrement de la meme maniere (exposee ci-dessus) que celle employee pour 
20 proteger le message transmis a I'etape 204 de la figure 2. 

Lorsque, a I'etape 305, les droits (« EMM (droits Esclave) ») sont 
ensuite diffuses par Toperateur de services (a partir du systeme de diffusion 5) 
vers le terminal esclave 2, celui-ci peut, grace aux informations revues du 
terminal maitre, capter TEMM contenant les droits de la carte « esclave » 25 et 
25 mettre a jour ses droits a Tetape 306 pour continuer de fonctionner 
normalement. 

Si le terminal numerique esclave 2 n'a pas re?u les informations de 
filtrage EMM dans le temps de reponse maximal imparti pour que le terminal 
maitre les retransmette, les droits du terminal esclave 2 ne sont pas restaures, 
30 et il ne fonctionne plus normalement. En pratique, le temps de reponse maximal 
est decompte au niveau du systeme de diffusion 5 entre remission du 
« Message (Info de filtrage EMM Esclave) » et remission du message « EMM 
(droits Esclave) ». Ce temps de reponse maximal est par exemple de Tordre 
d'une seconde et peut varier d'un systeme £ Tautre. 

35 

D'autres variantes simples peuvent etre envisagees : par exemple le 
terminal maitre regoit du systeme de diffusion 5 une partie de TEMM 
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(respectivement de I'ECM) du terminal esclave puis il la retransmet au terminal 
esclave dans un laps de temps limite. 

La figure 4 illustre une troisieme methode d'implementation de 
I'invention, basee non plus sur les EMMs mais sur les ECMs. 
5 Selon cette methode, les ECMs contenant les cles de 

desembrouillage necessaires pour desembrouiller les donnees audio/video du 
programme selectionne sur le terminal esclave 2 ne sont pas dechiffres dans le 
terminal esclave (par le module de controle d'acces 24 en liaison avec la carte 
a puce 25), mais dans le terminal maTtre 1 (par le module de controle d'acces 
10 14 en liaison avec la carte a puce 15). Les elements (cles et algorithmes) 
necessaires pour le dechiffrement des cles de desembrouillage ne sont 
contenus que dans le terminal maTtre (plus precisement dans sa carte a puce 
15). 

En pratique, et comme illustre a la figure 4, lorsqu'un ECM est regu 
15 par le terminal esclave 2 avec le flux de donnees embrouillees contenant 
notamment des programmes audiovisuels (etape 401), I'ECM (ou seulement les 
cles de desembrouillage chiffrees qu'il contient) est immediatement envoye au 
terminal maTtre 1 par la liaison physique 3 (etape 402). Les cles de 
desembrouillage sont ensuite dechiffrees a I'etape 403 a I'aide des elements 
20 contenus dans la carte a puce 15. Puis, lors de I'etape 404, les cles de 
desembrouillage ainsi dechiffrees sont renvoyees au terminal esclave 2 qui 
peut ainsi initialiser le desembrouilleur 22 pour la prochaine crypto-periode (ou 
« key-period »). Le desembrouillage des programmes peut ainsi avoir lieu avec 
succes a I'etape 405. 

25 Si en revanche les cles de desembrouillage dechiffrees ne sont pas 

regues a temps par le terminal esclave 2, celui-ci ne peut pas desembrouiller 
les donnees contenant les programmes qu'il regoit. 

L'operation decrite ci-dessus est repetee pour chaque crypto-periode 
(ou « key period ») et les etapes 406 et 407 correspondent aux etapes 401 et 
30 402 respectivement. 

Preferentiellement, le message transmis a I'etape 404 contenant les 
cles de desembrouillage dechiffrees est protege par un chiffrement local entre 
le terminal maTtre 1 et le terminal esclave 2 de la meme maniere (exposee ci- 
dessus) que celle employee pour proteger le message transmis a I'etape 204 
35 de la figure 2. 

Un laps de temps limite (note « Temps de reponse max » sur la 
figure 4), qui peut varier d'un systeme a I'autre et qui est par exemple de I'ordre 
d'une seconde, peut en outre etre impose entre renvoi (etape 402) par le 
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terminal esclave 2 des messages contenant les cles de desembrouillage 
chiffrees au terminal maTtre 1 et la reception (etape 404) des cles dechiffrees 
par le terminal esclave 2. Cette contrainte permet de limiter les possibilites de 
contournement par Internet. 

5 

Les implementations decrites ci-dessus impliquent certaines 
contraintes d'utilisation du terminal maTtre : il doit etre actif et en mesure de 
recevoir les EMMs/ECMs/messages en permanence, d'une part puisque la 
diffusion des informations par le systeme de diffusion n'est pas predictible dans 
10 le temps et d'autre part parce que le systeme de diffusion n'a pas de retour 
d'information sur le fait que ces EMMs/ECMs/messages ont ete re?us par leurs 
destinataires. 

La quatrieme methode d'implementation de invention qui suit, 
illustree par la figure 5, permet de reduire ces contraintes. 

15 Selon ce mode de realisation de I'invention, tout ou partie des 

informations permettant au terminal esclave 2 de constituer ses droits sont 
regues sous forme d'EMM que nous appellerons « EMM (droits Esclave 
partiels) » et memorises par le terminal maTtre 1. Le terminal esclave 2 va 
demander au terminal maitre ces informations a un moment ulterieur. 

20 Sur la figure 5, a I'etape 501 le terminal esclave 2 re?oit du systeme 

de diffusion 5 un EMM contenant une partie des informations permettant de 
reconstituer ses droits et a I'etape 502 le terminal maitre 1 regoit un EMM 
contenant des informations, complementaires de celles transmises au terminal 
esclave 2 a l'6tape 501, pour reconstituer les droits du terminal esclave. 

25 Naturellement, les etapes 501 et 502 peuvent etre effectu6es simultanement ou 
dans un ordre inverse. 

Le moment ou se fait I'echange d'informations entre les deux 
terminaux est preferentiellement choisi de maniere a garantir que cet echange 
sera un succes (par exemple juste apres avoir verifie que la communication 

30 entre les 2 decodeurs est operationnelle et/ou s'etre assure de la presence de 
I'abonne pres de son terminal esclave pour qu'il puisse suivre d'eventuelles 
instructions). L'etape notee 503 sur la figure 5 represente cette attente d'un 
moment approprie pour le transfert des droits partiels du terminal esclave. 
^operation de transfert des droits doit cependant avoir lieu pendant un 

35 intervalle de temps limite, correspondant a la « fenetre de mise a jour » dans la 
figure 5 (par exemple quelques jours) apres Tarriv^e des EMMs, sinon le 
module logiciel 27 du terminal esclave annule les droits de sa carte a puce 25. 
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Le moment approprie venu (etape 504), le terminal esclave 2 
demande Pinformation EMM au terminal maTtre 1 en lui envoyant un « Message 
(demande droits Esclaves) » lors de I'etape 505. Le terminal maTtre 1 doit 
renvoyer cette information sous la forme d'un « Message (Droits Esclave) » 
5 (envoye a I'etape 506 sur la figure 5) dans un delai maximum de quelques 
dizaines de millisecondes (« temps de reponse max » sur la figure 5). Si les 
droits partiels complementaires de I'esclave sont regus dans ce delai, alors la 
mise a jour des droits du terminal esclave 2 est effectuee avec succes (etape 
507). En revanche, si cette information n'est pas regue dans le delai « Temps 

10 de reponse max », le terminal esclave cesse d'attendre de nouveaux droits 
(etape 508) et le module de gestion de Implication d'appariement 27 du 
terminal esclave annule les droits de sa carte a puce 25. Preferentiellement, le 
message envoye a I'etape 506 est protege par un chiffrement comme cela a ete 
vu precedemment pour les autres exemples d'implementation. 

15 Lorsque la fenetre de mise a jour expire sans qu'un moment 

approprie pour le transfert n'ait ete detecte, le module logiciel 27 du terminal 
esclave annule egalement les droits contenus dans sa carte a puce 25 (etape 
509). 

20 La cinquieme methode ^'implementation suivante de I'invention qui 

est illustree par la figure 6 permet de reduire un risque lie a I'emulation possible 
des messages envoyes par le terminal maitre au terminal esclave par un 
dispositif exterieur. 

Les informations qui sont foumies au terminal esclave sont extraites 

25 du flux diffuse par le systeme de diffusion par le terminal maTtre. Dans les deux 
premieres implementations illustrees par les figures 2 et 3, reformation re?ue 
par le terminal maitre 1 doit etre transferee au terminal esclave 2 
immediatement apres reception. Un dispositif pirate pourrait etre tente de 
retrouver une correlation entre le message circulant sur la liaison de 

30 communication 3 et le contenu du flux transport diffuse regu par le terminal 
maitre dans les instants qui ont precede, et ainsi etre capable de reproduire le 
processus de traitement du flux transport pour generer un message identique 
pour le terminal esclave dans un delai suffisamment court. Ce dispositif pourrait 
etre soit un ordinateur equipe d'un tuner / demodulateur / demultiplexer, soit 

35 I'equivalent d'un autre decodeur avec un logiciel adapte,.et etre mis a proximite 
du terminal esclave, loin du terminal maTtre. 

Pour eviter qu'une telle correlation puisse etre trouvee, les 
informations revues par le terminal numerique maTtre 1 doivent etre 
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transformees, selon cette implementation pr6f§r6e de invention, avant d'etre 
envoyees au terminal esclave 2. Le moyen le plus sur disponible dans un 
terminal numerique pour effectuer cette transformation est Tutilisation du 
d6sembrouilleur DVB 12/22 sur la figure 1. 
5 Dans la pratique, le systeme de diffusion envoie au terminal maTtre 1 

un ECM special, qui contient une cle de desembrouillage specifique destinee a 
desembrouiller un message envoye ulterieurement au terminal maitre 1. Ce 
message ECM est protege de maniere connue en soi par chiffrement. Lorsque 
TECM est regu par le terminal maTtre 1, il est dechiffre dans la carte a puce 

10 maitre 15, pour obtenir la cl6 de desembrouillage specifique. Le message 
contenant les informations pour le terminal esclave 2 est ensuite envoye au 
terminal maTtre 1 dans des paquets de donnees embrouillees avec cette cle 
specifique. Le terminal maTtre desembrouille ces paquets de donnees a Taide 
de la cle specifique regue precedemment. Une fois desembrouilles, les paquets 

15 peuvent etre traites par le terminal maTtre 1 pour generer le message a 
destination du terminal esclave 2. 

Cette methode est applicable a toutes les variantes d'implementation 
citees plus haut. Sur la figure 6, elle est appliquee a la deuxieme methode 
d'implementation de Tinvention. 

20 Lors de Tetape 601 , TECM contenant des cles de desembrouillage 

specifiques est envoye par le systeme de diffusion 5 au terminal maTtre 1 , puis il 
est dechiffre par le terminal maTtre a Tetape 602 pour obtenir les cles de 
desembrouillage. Ensuite, les etapes 603 a 609 sont similaires aux etapes 301 
a 306 decrites precedemment en liaison avec la figure 3, a Texception du fait 

25 que le message contenant les informations de filtrage de TEMM Esclave, 
envoye au terminal maTtre lors de Tetape 604, est envoye dans des paquets de 
donnees embrouillees a Taide des cles specifiques regues precedemment, puis 
est desembrouille lors d'une 6tape supplementaire 605 dans le terminal maTtre 
1. On notera egalement que T6tape 603 qui intervient apres les etapes 601 et 

30 602 sur la figure 6, peut aussi avoir lieu juste avant Tetape 601 ou entre les 
etapes 601 et602. 

La figure 7 illustre quant a elle une autre variante d'implementation 
permettant de faire face a un autre risque. Ce risque identifie en particulier pour 
35 le quatrieme type d'implementation (decrit precedemment en liaison avec la 
figure 5) est celui de Temulation par un dispositif externe des messages (de 
type « Message (demande droits Esclave) ») envoyes par le terminal esclave 2 
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au terminal maitre 1 pour recuperer les informations partielles stockees dans le 
terminal maftre 1 permettant de reconstituer les droits du terminal esclave. 

Un dispositif exteme connecte au terminal maitre pourrait ainsi 
emuler la demande du terminal esclave et intercepter la reponse du terminal 
5 maitre. Cette reponse pourrait ensuite etre envoyee par Internet a un autre 
dispositif exteme relie au terminal esclave, qui pourrait alors fournir la bonne 
information lorsque le terminal esclave la demande. 

Pour eviter une telle emulation, on peut proposer soit I'utilisation d'un 
protocole securise avec authentication, soit plus simplement utiliser, comme 

10 dans des variantes precedentes, les ressources de la carte a puce et du 
systeme de diffusion. 

Selon le principe de cette variante d'implementation, le systeme de 
diffusion 5 envoie a un moment donne (ici, apres avoir envoye les messages 
EMM contenant les informations permettant de reconstituer les droits du 

15 terminal esclave lors d'etapes 701 et 702 - qui correspondent aux etapes 501 
et 502 de la figure 5) au terminal maitre 1 et au terminal esclave 2 un ECM 
special, contenant une ou des cle(s) de desembrouillage d'un code secret. Cet 
ECM est envoye au terminal esclave lors d'une etape 703 et au terminal maitre 
lors d'une etape 704. L'ECM recu par chaque terminal est ensuite dechiffre 

20 dans la carte a puce 15 / 25 de chaque terminal (etapes 705 et 706) pour 
obtenir la ou les cle(s) de desembrouillage du code secret. Puis le systeme de 
diffusion 5 envoie a chacun des terminaux aux etapes 707 et 708 un message 
identique (« Message (code secret embrouUle) »), embrouille avec ces cles 
prealablement recues. Les messages contenant le code secret sont 

25 desembrouilles dans chaque terminal 1 / 2 a I'aide des cartes a puces 15 / 25 et 
du desembrouilleur 12 / 22 lors d'etapes 709 et 710. Le terminal esclave 2 
envoie alors au terminal maitre 1 un message contenant le code secret obtenu 
(etape 711). 

Le terminal maitre 1 attend ce message pendant un laps de temps 
30 limite indique sur la figure 7 par « Temps de reponse max de I'Esclave ». S'il le 
re$oit si temps, il verifie lors d'une etape 712 qu'il s'agit bien du code secret 
attendu en le comparant a celui qu'il a lui-meme recu, puis, en cas de 
verification positive, il repond en envoyant au terminal esclave 2 un message 
contenant les informations necessaires pour reconstituer les droits du terminal 
35 esclave (etape 713). Le terminal esclave 2 peut alors mettre a jour ses droits 
sur sa carte a puce 25 avec succes (etape 714). Si le terminal maitre 1 n'a pas 
recu le message attendu contenant le code secret dans le temps imparti (etape 
715) ou bien si le message recu du terminal esclave 2 ne contient pas le code 
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secret que le terminal maTtre a re?u au prealable du systeme de diffusion 5, il 
n'envoie pas les informations pour reconstituer les droits de I'esclave. 

Une fois son message envoye, le terminal esclave 2 attend lui aussi 
la reponse du terminal maTtre 1 pendant un laps de temps limite indique sur la 
5 figure 7 par « Temps de reponse max du MaTtre ». Si reformation n'arrive pas 
dans les delais impartis (etape 716), alors le terminal esclave 2 ne remet pas 
les droits de sa carte a puce a jour. 

Un tel dispositif permet done, d'une part de rendre non-predictible 
I'echange d'informations, et d'autre part impose la contrainte de temps reel qui 

10 evite un contournement potentiel par Internet. 

On peut aussi, dans une autre variante, utiliser le principe decrit a la 
figure 7 dans une autre implementation que celle consistant a envoyer des 
EMMs contenant des informations partielles pour reconstituer les droits du 
terminal esclave. On peut notamment prevoir, a intervalles reguliers (par 

15 exemple, chaque semaine ou chaque jour), que le systeme de diffusion 5 
envoie des messages ECMs tels ceux envoyes aux etapes 703 et 704, au 
terminal maTtre 1 et au terminal esclave 2. Les etapes 707 a 712 se deroulent 
de la meme maniere qu'a la figure 7, puis, en cas de verification positive du 
code secret a l'6tape 712, le terminal maTtre envoie un message signifiant que 

20 le code re?u est correct. Si ce message est re?u apres I'expiration du « Temps 
de reponse max du MaTtre » ou si le code re<?u n'est pas correct, on prevoit 
dans ce cas que le terminal esclave supprime lui-meme les droits contenus 
dans sa carte a puce 25. 

25 L'invention n'est pas limitee aux methodes d'implementation qui ont 

ete decrites ci-dessus. Une autre variante peut notamment etre envisagee dans 
les modes de realisation illustres par les figures 2, 3 et 6. Dans toutes ces 
methodes d'implementation, on peut, au lieu d'envoyer un message « EMM 
(Suppression droits) » au d6but du protocole pour effacer ies droits du terminal 

30 esclave, attendre la fin du protocole et, si le delai predetermine s'est ecoule 
sans que le terminal esclave n'ait regu les informations necessaires du terminal 
maTtre, alors on peut pr6voir que le terminal esclave supprime lui-meme ses 
droits (par exemple en les effa?ant de sa carte a puce 25). 

35 Les avantages de Tinvention sont les suivants : comme elle se base 

sur des elements de securite du systeme de diffusion lui-meme (les 
informations 6changees entre les terminaux sont chiffrees avec des secrets 
g§r6s par le systeme de diffusion des donnees et par les cartes a puces des 
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terminaux numeriques), le risque de piratage au niveau de ia carte a puce ou 
du terminal numerique est reduit. 

D'autre part, comme ('invention peut s'appuyer sur I'aspect « temps 
reel » de ('implementation, le risque de prolongation de la liaison physique entre 
5 deux terminaux numeriques par un reseau telephonique ou Internet est 
considerablement reduit. En effet, la liaison physique entre les deux terminaux 
numeriques maitre et esclave pourrait etre « rallongee » indefiniment par une 
liaison Internet : I'operateur de service n'aurait alors plus la garantie que les 
deux terminaux se trouvent dans le meme foyer d'un abonne. En imposant, 
10 selon le principe de I'invention, un delai maximum pour le transfert des 
donnees, on s'assure ainsi que les informations ne transitent pas par une 
liaison de type Internet. 

Un autre avantage de I'invention est qu'elle garantit que chaque 
echange de donnees est different du precedent, et done non-predictible. En 
15 effet, un pirate pourrait etre tente d'espionner les informations qui sont regues 
par les terminaux pour emuler les informations attendues de la part du terminal 
numerique maitre par le terminal numerique esclave a Taide d'un dispositif 
pirate (un ordinateur par exemple). Comme les informations qui sont echangees 
entre les terminaux changent a chaque communication, elles sont non- 
20 , predictibles et ne peuvent done etre facilement emulees par un dispositif pirate. 
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REVENDICATIONS 



1. Systeme de reception de donn6es numeriques diffusees 
5 comprenant 

un terminal numerique maftre (1), et 

au moins un terminal numerique esclave (2) raccord§ au terminal 
maitre par une liaison (3) et susceptible de recevoir des donnees numeriques 
protegees, 

10 caracterise en ce que ledit terminal numerique esclave ne peut 

acceder aux dites donnees protegees que si des informations necessaires pour 
acceder aux dites donnees et recues par le terminal numerique maftre sont 
transmises par I'intermediaire de ladite liaison (3) au terminal numerique 
esclave dans un delai predetermine. 

15 

2. Systeme selon la revendication 1, caracterise en ce que les 
informations necessaires pour acceder aux donnees protegees qui sont recues 
par le terminal numerique maitre (1) proviennent du systeme de diffusion des 
donnees (5). 

20 

3. Systeme selon la revendication 2, caracterise en ce que lesdites 
informations pour acceder aux donnees recues par le terminal numerique 
maftre (1) sont transformees avant d'etre transmises au terminal numerique 
esclave (2). 

25 

4. Systeme selon la revendication 1, caracterise en ce que les 
informations necessaires pour acceder aux donnees protegees qui sont recues 
par le terminal numerique maftre (1) proviennent du terminal numerique esclave 
(2) et sont transformees avant d'etre retransmises au terminal numerique 

30 esclave (2). 

5. Systeme selon I'une des revendications 3 ou 4, dans lequel la 
transformation comprend un desembrouillage et/ou dechiffrement desdites 
informations dans le terminal numerique maitre (1), le 

35 desembrouillage/dechiffrement etant effectue a I'aide de cles recues au 
prealable par le terminal numerique maitre (1) du systeme de diffusion. 
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6 Systeme selon Tune des revendications precedentes, dans lequel 
les donnees numeriques protegees comprennent des services de television 
embrouilles par des cles et dans lequel les informations necessaires pour 
acceder aux dites donnees appartiennent a I'ensemble comprenant : 
5 - un message (EMM (Droits Esclave)) contenant des droits d'acces 

aux services pour le terminal numerique esclave (2) ; 

- un message (Message (info filtrage EMM Esclave)) contenant des 
parametres pour extraire du flux de donnees regu par le terminal numerique 
esclave (2) un message contenant des droits d'acces aux services pour le 

1 0 terminal numerique esclave ; 

- un message (Message (Droits Esclave)) contenant des information 
partielles permettant au terminal numerique esclave (2) de reconstituer ses 
droits d'acces aux services ; 

- un message (Message (cles de desembrouillage)) contenant des 
15 cles pour le desembrouillage desdites donnees numeriques protegees. 

7. Systeme selon Tune des revendications precedentes, dans lequel 
le delai predetermine est decompte a partir de I'envoi par le terminal numerique 
esclave (2) d'un message (Message (Demande droits au MaTtre) ; Message 
20 (Cles de desembrouillage chiffrees) ; Message (demande droits Esclave) ; 
Message (Code secret)) au terminal numerique maTtre (1 ). 

8 Systeme selon Tune des revendications 1 a 6, dans lequel le delai 
predetermine est decompte a partir de renvoi par le systeme de diffusion (5) 
25 des donnees d'un message (Message (Info filtrage EMM Esclave) ; Message 
embrouille (Info filtrage EMM Esclave)) au terminal numerique maTtre (1). 



9. Systeme selon Tune des revendications precedentes, dans lequel 
les informations necessaires pour acceder aux donnees protegees sont 

30 transmises du terminal numerique maTtre (1) au terminal numerique esclave (2) 
en etant protegees par un chiffrement utilisant une cle partagee par les deux 
terminaux (1, 2). 

10. Systeme selon la revendication 1, 

35 dans lequel le terminal numerique maTtre (1) et terminal numerique 

esclave (2) regoivent en outre du systeme de diffusion des donnees (5) un code 
secret (Message (code secret embrouille)) et 
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dans lequel le terminal numerique maitre (1) ne transmet au terminal 
esclave (2) lesdites informations necessaires pour acceder aux donnees que s'il 
regoit du terminal esclave (2) ledit code secret (Message (code secret)) dans un 
second delai predetermine a compter de la reception du code secret par le 
5 terminal maitre (1). 

11. Systeme selon la revendication 10, dans lequel le code secret 
regu par le terminal numerique maitre (1) et par le terminal numerique esclave 
(2) est embrouille a I'aide de cles transmises au prealable auxdits terminaux par 

10 le systeme de diffusion des donnees (5). 

12. Terminal numerique (2) destine a recevoir des donnees 
numeriques protegees, caracterise en ce qu'il ne peut acceder aux dites 
donnees protegees que si des informations necessaires pour acceder aux dites 

15 donnees, et regues par autre terminal numerique (1) auquel il est susceptible 
d'etre raccorde, lui sont transmises par cet autre terminal dans un delai 
predetermine. 



THIS RAGE BLANK 



(USPTO) 



ABREGE 



Systeme de reception de donnees numeriques diffusees comprenant un 
terminal numerique maTtre, et au moins un terminal numerique esclave 



(notamment des services de television payants) comprend un terminal 
numerique maTtre (1), et au moins un terminal numerique esclave (2) raccorde 
au terminal maTtre par une liaison (3) et susceptible de recevoir des donnees 

10 numeriques prot6g6es. Le terminal numerique esclave ne peut acc6der aux 
donnees protegees que si des informations necessaires pour acceder aux 
donnees et regues par le terminal numerique maTtre sont transmises par 
I'intermediaire de la liaison (3) au terminal numerique esclave dans un delai 
predetermine. Ces informations sont notamment des droits d'acces a des 

15 services de television ou des cles de desembrouillage des services. 



5 



Le systeme de reception de donnees numeriques diffusees 



Figure 2. 



20 



2003 



7 « OS. 

@ 



THIS PASE BLANK (usfto) 



Antenne 
satellite 



1 17 



OS. 



2003 



V 



Tuner 




Demultiplexeur 








Demod 


► 

11 J 


/ Filtres 





10 



EMMs 
et ECMs 



14 



TERMINAL 

NUMERIQUE 

MAITRE 



Module 
Controle 
d'acces 



Desembrouilleur 

Messages t ^- 12 

les de 
desembouillage 



V 



V 



A Televiseur 



Carte a 
puce 



EMMs 
ou 

ECMs 
- 15 



Module 
Application 
d'appariement 




Tuner 




Demultiplexeur 








Demod 


► 


/ Filtres 




21 J 







20 



EMMs 
et ECMs 



24 



TERMINAL 

NUMERIQUE 

ESCLAVE 



Desembrouilleur 



V 



Module 
Contrdle 
d'acces 



'J" 



essages 7- \_ 22 
les de 
desembouillage 



Decodeur 
MPEG 



23 



Carte a 
puce 



EMMs 
ou 

ECMs 



Module 
Application 
d'appariement 





Port de 


i ' 


I — ► 


Comm. 





Messages v 26 



27 



v 



A T§leviseur 
► 



Liaison de 
communication 



25 



Fig. 1 



2/7 



2 



_ a> 




«= .£T 


CD 


ermi 
imer 


03 







X 
CO 

E 
jo 

Q < 




I 
'55 



CD 
CO 

2 

"D 

CD 

■o 

C 
CD 

E 

CD 

Q 

CD 
O) 
CD 
CO 
CO 
CD 




i2 
o 

c 
g 

CO 
Q. 

CO 



LU 



o 
o 

CM 



2> 



CO 
jO 

? 

CD 
■o 
c 

CO 

E 

CD 
Q 

CD 
O) 
CD 
CO 
CO 
CD 



CM 
O 
CVJ 



CO 

o 

CNI 



J 2 



CD 
> 

o 

CO 

LU 

CO 
» 

"2 

Q 



LU 



■e 



o 

CM 



O 
CM 



CD 
> 

_co 
o 

CO 
LU 

£ 

"2 
Q 



LU 



CO ^ 
X3 -CD 

$ 8 

-a ^ 

-co — 
a) -J2 
.£2 "o 

1" 

in 
o 

CM 



CD 4= 



CD 



CD 



O 



S> CD 



<0) 



T 

CO 

o 

CM 



3/7 



(D 

15 =» 



cr (D 



o, §2 



X 
CD 

o> E 

"° 0) 
co co 

CL C 

5 a- 




i 

o 

LLI 



LLt 

<D 
O) 
CO 



CM == 

o *- 

co £ 

V f 



CO 

o 

CO 




in 

8 

g 
en 

CO 

E> 

CL 
CL 
Z3 

CO 



LU 



■6 



CO 



o 

CO 



> 



0) 

>• 

JS 

o 

co 
LU 



LU 

CD 

O) 

05 



O) 
CO 
CO 
CO 
CD 



=3 
T3 



CO 



^ LU 
CO 



CD 

> 
_co 

o 
co 
LU 

</> 



CO 




CD 


'co' 


73 




k_ 


■8 




o 




13 


*co* 


'CO 




CD 


CO 


CO 


"5 


2 


t5 



^1 



o 

CO 



CD 
O 

CO 



LU 



4/7 




X 
CO 

-o E 

CO CO 
CL C 

E ° 



CD 



CO 
CD 
-CD 



CD 
*E5 

2 
E 

CD 
CO 

-CD 
"O 

CD 
"O 

CO 
-CD 




CD 
O) 
CT5 
CO 
CO 
CD 




CO 
CD 
-CD 



o 

CD 
CIS 



o 
E 

CD 
CO 
-CD 

~o 

CD 
T3 
CO 

O 



o 

LU 



"O 

o 

5 CD 
o * 



^ JS 

CD J= CD 

P 5 ° 

2 co Q- 
5£ ^) 

£ O d, 

Q -o o 



CO 

o 



CNI 

o 



CD 
CO 
JO 

"5 
2 

E 

CD 
CO 
-CD 
"O 

CD 
"D 
CO 

:5D 

O 

CD 
O) 
CO 
CO 
CO 
CD 



o 




CO 
CD 
*CD 



O 

CD 
O) 
CO 



o 



2 
E 

CD 
CO 
>CD 

■a 

CD 

■a 

CO 

O 

CD 
O 
CO 
CO 
CO 
CD 



CD 



CO 
CD 
-CD 



O 

CD 
O) 
_C0 

"5 

o 
i_ 

E 

CD 
• CO 
-CD 
"O 

CD 

■a 

CO 

a 



o 

LU 



CD 
O 



5/7 



2 



'CO 
CD CD 

c e 
a> o 



X 
CO 

e 

CD 
CO CO 
Ol C 

£ 0 



CD 



CD 



o 





CD 




inal 


nbj. 


CD 


E 


^CD 


<^ 

CO 


0> 


E 






3 





CM 
O 

to 





CO 
CO 

o_ 

CD 

> 

JO 

o 

CO 

LU 

& 
2 



UJ 



■e 



T 



CD 
> 

_co 
o 

CO 
LU 
CO 



"O 

CD 
"O 

c 
CO 

E 

CD 

;o 

CD 
O) 
CO 
CO 
CO 
CD 



LO 

o 

LO 



CD 

> 

JO 

O 
CO 

LU 

CO 

"2 

Q 

CD 
O) 
CO 
CO 
CO 
CD 



JO 
CD 

'tr 

CO 
Q_ 

CD 
> 
JO 

o 

CO 

UJ 

CO 



LU 





CD 
O 



LO 



CO 




CD 


CO 


T> 


'CD 


l_ 


O 




O 






JO^ 


'CO 




CD 


JO 


Mis 


0 


t5 



T 

o 

LO 



jO 

*a CD 
a> -g 

C -CD 
CD ^ 
CD 
CO > 
1 CO 
<CD "o 
t CO 
< LU 



0O 

o 
10 




o 
10 



6/7 




CM 

2 





CD 




co 










> 








Terrr 


me 


scl 


Nu 


LU 




■a 



x 

CO 

E 



<D 

CO CO 
CL C 

E ° 

5* 



o 

CO 



-6 




s 

o 

CO 

LU 



LU 

CD 
O) 
CO 



a) 

U) 
CO 
CO 

<o 

0 




CD 
> 
JO 

o 

CO 
LU 



LU 
CD 

o> 

CO 



Z3 
O 

a. 

CO 

O 



O 
LU 



B 
o 

TJ 
C 

g 

to 

CO 
CD 



CL 
CL 
3 
CO 



2 

LU 



CD 
O 
CD 



CD 
CT 



CO 

o 

CD 



9r^ 



> 

JO 

o 

CO 
LU 



LU 
CD 

CO 



4? 

*5 
o 

J5 

E 

CD 

CD 
CD 
CO 
CO 
CO 
0) 



o 

CD 



1^ 




CD 
> 
JO 

o 

CO 

LU 

JO 

o 



CO 




CD 


'c/T 


■a 






-8 




o 


o 






JO^ 


"CO 




CD 


CO 


CO 


o 


is 





CD 
O 
CO 



oo 
o 

CO 



7/7 



CD 
O 





LO 

o 



o 

LU 

• 

CD 

e 
<d 



o 

a 



CD 



X 
CO 

E 



<d 



CD ±z 



CO CD 

0) E S 
CD "o 

www 



W W <= 
Q- C <? 

If a 




_W 
CD 

CO 
Q. 

CD 
> 
JO 

o 
w 

LU 
w 



LU 



o 

UJ 

c 
CD 

E 
2 

x: 
o 

^<D 

Q 



_w 

CD 

CO 
CL 

CD 
> 

_co 

o 
w 

LU 

w 



LU 



CD 

CM ^ 
<P W 
^ CD 

8 

O 
Q_ 

W 

O 



o 

LU 



4 



CD 



CD 
O) 
JCO 

*5 
o 

E w 

W -r-j 

^ o 



1" 

o 



CD 

o 

0 
W 

CD 
"O 
O 

o 

CD 
O) 
CO 

w 
w 

CD 



CD 

O 
CD 
W 

CD 
"O 

o 
o 

I— 

o 

Q_ 

w 

^CD 

o 



O 
LU 



4 



^> 


He) 


3 




o 


2 


JQ 




E 


E 


CD 


CD 








% 


O 


O 


CD 


0 


W 


W 


CD 


CD 




"D 


8 


8 










CD 


CD 


O) 


O) 


CO 


CO 


w 


w 


w 


w 


CD 


CD 


2 


2 



=3 

c 
g 



CD 

O 
CD 
W 



4^ CD 

> o 



CD 

j5 

O 
W 

LU 

w 



CM " 

r" cd 

CO 

w 
w 

CD 



CD 




T3 




O 




O 


"5 s 


CD 


CD 


ttent 


(ech 


CO 








t 


b 


< 


se 



CO 



CD 
O) 
CO 



o 

E w 



CD CD 
W 

£ O 

Q o 



w 




CD 


w 


"O 


'CD 


1— 


O 




O 








"CO 




CD 




Mis 


dro 



CD 
O 



w 

"O CD 

-ffi O 
C -CD 
CD ^ 

CO >.. 
CO 

<(D o 
fc W 
< LU 

y 

CD 



00 

o 



O 



CO ^ w 
° £ O 

^ 5 



THIS PAGE BLANK (usptoj 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 



Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 



□ IMAGE CUT OFF AT TOP, BOTTOM OR SIDES 

□ FADED TEXT OR DRAWING 

□ BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



BEST AVAILABLE IMAGES 




BLACK BORDERS 



PMSE BLA»« 



